Google受攻擊技術細節說法不一

　　對于Google可能退出中國聲明中提到的此前所受到的攻擊，安全技術界給出了各種解釋。

　　VeriSign公司的iDefens實驗室的安全分析師發布了一份媒體公告，稱黑客攻擊了主要的源代碼庫。

　　VeriSign說超過30家技術公司遭到了一系列攻擊，這有可能始于七月份的一種類型相近的攻擊，這一攻擊通過包含惡意PDF文件的電子郵件信息攻擊了100個IT公司。金融和防御機構也有可能遭到了攻擊。

　　VeriSign iDefense在其公告中稱：據熟悉這種攻擊的人員透漏，攻擊者采取了傳播針對Google的惡意代碼的方式和使用PDF作為電郵附件的攻擊方式;這些文件的特征和去年7月份一次攻擊的特征很相似。這兩起攻擊中，惡意文件都在Windows DLL中安插了一個后門木馬。

　　VeriSign說這兩起攻擊使用了相似的IP地址，并使用了相同的命令和控制結構。這些IP地址都屬于Linode(一家美國的虛擬私有服務器主機供應商)所有。

　　VeriSign說：考慮到它們是如此接近，有可能這兩種攻擊就是同一種攻擊。那些遭到硅谷攻擊的組織自七月以來就一直處于威脅之中。

　　類似的分析在《MIT 技術評論》的這篇文章中有比較全面的介紹。

　　而McAfee CTO George Kurtz(也是《黑客大曝光》一書的作者之一)則明確不同意這種觀點，他在博客中稱，Google所受攻擊應該源于一種新的此前不大為人所知的IE漏洞。McAfee已經向微軟通報了此漏洞，預計不久微軟將提供相關建議。他表示，攻擊主要針對某些能夠訪問重要知識產權的特定人員，攻擊者向他們發送像是來自一個信任來源的鏈接或者附件，誘使目標點擊，不知不覺中下載和安裝惡意軟件，為攻擊者打開后門，進入所屬公司的網絡。

　　Kurtz將這種攻擊命名為Aurora(極光)。他在文中還說到，安全威脅已經進入了一個新時代，類似的攻擊只是冰山之一角。與之前常見的影響廣泛的病毒如紅色代碼不同，這種攻擊需要復雜而精巧的社交工程配合，一般目標極為明確，往往指向有利可圖或者機密的知識產權。

　　【更新】

　　微軟已經在自己的網站發布了一個關于 Kurtz所述IE漏洞的安全建議，其中指出，漏洞是IE中的一個無效指針引用。在一些情況下，這個指針可能在對象刪除之后仍然能夠訪問。在精心設計的攻擊中，通過試圖訪問已被釋放的對象，IE可以被用來允許遠程代碼的執行。

　　微軟表示，該漏洞將影響Windows各版本上的IE 6到IE 8瀏覽器。只有較老的IE 5.01 SP4不受影響。如果懷疑自己的電腦已經受到這一漏洞的影響，可以訪問https://consumersecuritysupport.microsoft.com/default.aspx?mkt=en-usscrx=1。

　　微軟公司已經承諾盡快推出補丁。

　　McAfee的威脅研究副總裁Dmitri Alperovitch表示，這種攻擊非常復雜，此前往往針對的是政府和國防部門，應該不是業余者所為。McAfee之所以將這種攻擊稱為Aurora(極光)，是因為該惡意代碼的二進制文件路徑名是這個單詞。相信這是攻擊者自己為這種攻擊所起的名字。

　　另據IOActive公司滲透測試總監Dan Kaminsky說，Windows XP及以上版本的DEP(數據執行保護)功能有助于防范此類攻擊。另外，雖然Google所受攻擊用到的惡意代碼只影響IE 6，但這個漏洞仍然可以用來攻擊更高版本。不過，Windows Vista和Windows 7采用了ASLR(地址空間布局隨機化，address space layout randomization)的保護技術，大大增加了攻擊的難度。

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: google Google 攻擊 技術 細節 說法不一